يك مطالعه روي محصولات NAS چند شركت معتبر نشان ميدهد که آنها معمولاً آسيبپذيرتر از روترهاي خانگيای هستند كه به عنوان دستگاههايي با ضعفهاي امنيتي زياد شناخته ميشوند. جاكوب هلكامب، تحليلگر امنيتي با تحقيق روي 10 دستگاه ذخيرهساز معروف بازار از برندهاي گوناگون، متوجه شده است که روي تمام اين محصولات، چندين شكاف امنيتي وجود دارد.
هلكامب ميگويد: «يك دستگاه به معناي واقعي وجود ندارد كه دربردارنده اين آسيبپذيريها نباشد.»
وي كه یافته های خود را در كنفرانس بلک هت 2014 ارائه ميداد، گفت: «تقريباً 50 درصد اين دستگاهها از نوعي احرازهويت استفاده ميكنند كه به راحتي دور زده خواهد شد و به نوعي احرازهويت ندارند.» همچنین او ميگويد که سازمانهاي امنيت كامپيوتري روي اين موضوع حساس شدهاند و تحقيقات خود را آغاز كردند و تا پايان سال، گزارشهايش منتشر ميشود كه حتماً شامل شناسايي نقاط ضعف بيشتري است. اين موضوع ثابت ميكند ذخيرهسازهاي تحت شبكه خطرناكتر و آسيبپذيرتر از روترهاي بيسيم خانگي هستند. هلكامب در سال گذشته رهبري مطالعه مشابهي را برعهده داشت كه در نتيجه آن 50 آسيبپذيري روي روترهاي رده خانگي/اداري كوچك شناخته شد. در مطالعه جديد هلكامب، آسيبپذيريهاي كشف شده روي دستگاههاي NAS به مراتب خطرناكتر هستند و نگرانيهاي بيش تري را نسبت به روترها برميانگيزند.
برخي از آسيبهاي شناسايي شده تزريق دستور (Injection)؛ درخواستهاي جعلي cross-site، سرريز بافر، افشاي اطلاعات، حسابهاي كاربري با دروازه پشتي(Backdoor)، احرازهويتهاي قابل دورزدن و ضعيف، مديريت نشست ضعيف و پيمايش دايركتوريها هستند. برخي از اين نقاط ضعف ميتوانند با يكديگر تركيب و سپس به كار گرفته شوند كه در نهايت به دسترسيهاي ريشه و اجراي دستورات در بالاترين سطح سيستم منجر ميشوند. آسيبپذيريهاي NAS جنبههاي گوناگوني دارند. يك هكر با نفوذ به يك روتر بيسيم، ميتواند يك شبكه بيسيم را دستكاري كند، اما نفوذ به يك NAS منجر به لو رفتن اطلاعات حساس ذخيرهشده ميشود. با وجود این كه NAS به روتر متصل ميشود، اما لزوماً نفوذ به NAS از طريق هك روتر نيست، خرابكاران ميتوانند مستقيماً NAS را هدف قرار دهند. قرار است در آينده گزارشهاي بيشتري درباره اين آسيبپذيريها منتشر و مذاكره با سازندگان اين سختافزارها براي بهبود امنيت آنها آغاز شود.
منبع : ماهنامه شبکه